Quando un sito implementa qualcosa, è always per servire i loro interessi; tuttavia, a volte questo coincide con il servire anche gli interessi dell'utente, ad es. come in "proteggere gli utenti contro se stessi", che è il caso qui.
Il punto delle restrizioni è (provare a) rendere la più difficile da indovinare da parte di un utente malintenzionato. In verità, impedire ad alcuni utenti di utilizzare alcuni valori specifici delle password riduce matematicamente il numero di possibili password; ma praticamente , questo è più che altro per vietare le facili password che gli utenti sceglierebbero quasi sempre se avessero la possibilità di scegliere. Il numero totale di password possibili è ridicolmente grande. Se consideriamo che una password può includere lettere (minuscole e maiuscole), cifre e, ad esempio, segni di punteggiatura accessibili da una tastiera comune; e se consentiamo alle password di avere una lunghezza massima di 30 caratteri, il numero di password possibili è uguale a 157935773974908502215194845377591539584935386309545795005451 (inclusa la "password vuota" di lunghezza 0, altrimenti sottrarre 1 a tale numero). Le password possibili non sono una risorsa scarsa e c'è un piccolo problema nella rimozione di alcuni miliardi da quel conteggio.
La risorsa spaventosa è l'immaginazione e la pazienza dell'utente. Data la possibilità, la maggior parte degli utenti utilizzerà password brevi con solo lettere minuscole, perché è ciò che è più facile da ricordare e digitare. E sceglieranno parole "significative", ad es. "castello" e non "bsigrz". L'attaccante sa che: le password semplici sono le prime che proverà, e non ce ne sono molte, quindi l'attaccante avrà successo.
Le "regole della password" sono un tentativo di forzare gli utenti a non utilizzare password semplici. Se li imponi di includere una cifra e una lettera maiuscola, lo faranno, ma con una cifra che l'attaccante non può prevedere e con l'uppercaseness applicata a una lettera casuale. (Almeno teoricamente, in pratica, gli utenti inseriranno la lettera maiuscola nella prima lettera, e la cifra verrà aggiunta alla fine e sarà un '1'). La speranza fervente è che questo aumenterà il numero di password possibili che l'utente sceglierà in modo efficace e quindi renderà le cose più difficili per l'aggressore.
Le regole della password possono ritorcersi contro, a volte in modo spettacolare; gli utenti dimenticheranno la loro password e invaderanno l'helpdesk; gli utenti scriveranno la password su una nota adesiva astutamente nascosta sotto la tastiera. (Per quanto riguarda il backfiring, scrivere una password complessa su un pezzo di carta memorizzato nel portafoglio dell'utente non è così male: almeno, gli utenti si preoccupano della posizione del loro portafoglio.) Un'istanza molto comune di backfiring è, esattamente, avere una "solita" password che l'utente usa con molti siti. Ciò significa che una violazione della sicurezza su un sito si estende immediatamente a tutti gli altri siti su cui l'utente ha anche un account. Quello è cattivo.